Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:DR/Autoit.RL
Entdeckt am:14/10/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:927.495 Bytes
MD5 Prfsumme:e26110b93d3e2b047f11cb9b3158cc35
IVDF Version:7.01.06.109 - Mittwoch, 14. Oktober 2009

 General Verbreitungsmethode:
Autorun Dateien


Aliases:
   •  Mcafee: W32/Renocide.c virus
   •  Sophos: W32/Autoit-HA
   •  Eset: Win32/AutoRun.Autoit.BL
   •  Bitdefender: Trojan.Generic.2590538


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt schdliche Dateien herunter
   • Erstellt schdliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\csrcs.exe
   • %Laufwerk%\mijdwm.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Folgende Datei wird gelscht:
   • %TEMPDIR%\suicide.bat



Es werden folgende Dateien erstellt:

– Eine Datei fr temporren Gebrauch. Diese wird mglicherweise wieder gelscht.
   • C:\%zufllige Buchstabenkombination%

%SYSDIR%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%TEMPDIR%\suicide.bat



Es wird versucht die folgenden Dateien herunterzuladen:

Die URLs sind folgende:
   • http://pimpumpam.orz.hm:48753/**********
   • http://lanlenio.or.tp:48753/**********
   • http://juirjeju.or.tp:48753/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

 Registry Folgende Registryschlssel werden hinzugefgt:

[HKLM\SOFTWARE\Microsoft\DRM\amty]
   • "dreg"="408406541BC5BBE4DC197A2A0C46B9ACF2F90D96B151D7C7BCBD177641EE95F562E634D70EB70FB65FC8FBF0EC31276D8626D05B1ED70CC881A48DA07A7E649B"
   • "exp1"="408406541BC5BBE4DC197A2A0C46B9ADF2F90D96B151D7C7BCBD177641EE95F162E634D70EB70FB65FC8FBF0EC312619"
   • "fix"=""
   • "fix1"="1"
   • "ilop"="1"
   • "regexp"="%Nummer%"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Folgende Registryschlssel werden gendert:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "Shell"="Explorer.exe csrcs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Neuer Wert:
   • "GlobalUserOffline"=dword:0x00000000

 Infektion ber das Netzwerk IP Adressen Erzeugung:
Es werden zufllige IP Adressen generiert wobei die ersten drei Zahlen die der eigenen Addresse sind. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 15. Dezember 2009
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 15. Dezember 2009

zurück . . . .